WAF(Web Application Firewall)

WAF (Web Application Firewall)とは?

WAF(Web Application Firewall)とは、Webサイト上のアプリケーション用ファイアウォールです。

Firewallはどのアプリケーションを通す/通さない、を制御します。
例えば、「httpを通さない」という制御は可能ですが、「httpを通す」とした場合にはhttp通信の中身はチェックできません。
これでは、クロスサイトスクリプティングやSQLインジェクションなどの攻撃を防ぐことができません。

WAFはHTTPなどの通信の「中身(データ)」をチェックし、クロスサイトスクリプティングやSQLインジェクションなどの攻撃をブロックします。

3つのWAF

WAFは主に

1、クラウド型
初期コストを抑えられ、運用も任せられる

2、ソフトウェア型
ハードウェアがない分、アプライアンス型より安価に導入可能
Webサーバに負荷がかかる

3、アプライアンス型
設定自由度が高い、Webサーバに付加をかけない

の3つの形式で提供されています。

【参考資料】Web Application Firewall 読本(IPA)

ProSolがお勧めするWAF

ProSolがお勧めするWAFはBarracuda社のWAFです。

7年連速で国内出荷台数シェアNo.1の製品です。

また、多くのWAFメーカーでは「クラウド型」か「アプライアンス型」のいずれか一方しか提供していません。
しかし、Barracuda社はクラウド型もアプライアンス型も両方提供しています。
アプライアンス型WAFはこちら
クラウド型WAFはこちら

企業規模やWebサイトの規模が小さいうちはクラウド型を利用し、成長後はアプライアンス型へ移行してセキュリティを高める、ということが可能です。
クラウドからアプライアンス並行しても管理画面などは変わらず、セキュリティ管理者はスムーズに管理を継続できます。

無料でWAF

ProSolが運営するITセキュリティ研究所では、「無料で出来る情報セキュリティ対策」をご紹介しております。
無料のWAFとして、mod_security をご紹介しております。